文件上传漏洞细节解析 | 您所在的位置:网站首页 › 上传文件名称只能包括英文 › 文件上传漏洞细节解析 |
描述 文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。如常见的头像上传,图片上传,oa 办公文件上传,媒体上传,允许 用户上传文件,如果过滤不严格,恶意用户利用文件上传漏洞,上传有害的可以执行脚本文件到服务器中, 可以获取服务器的权限,或进一步危害服务器; 危害非法用户可以上传的恶意文件控制整个网站,甚至是控制服务器,这个恶意脚本文件,又被称为 webshell, 上传 webshell 后门很方便地查看服务器信息,查看目录,执行系统命令等; 有关文件上传的知识文件上传的过程客户端 选择发送的文件->服务器接收->网站程序判断->临时文件->移动到指定的路径; 服务器 接收的资源程序; 服务器接收资源代码: 客户端文件上传的代码: Filename: 文件上传代码文件上传时会返回一些代码 返回客户端 客户端根据这些值判断上传是否正常 值:0; 没有错误发生,文件上传成功。值:1; 上传的文件超过了 php.ini 中 upload_max_filesize 选项限制的值。值:2; 上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值。值:3; 文件只有部分被上传。值:4; 没有文件被上传。文件上传漏洞原因文件上传漏洞分为: 直接文件上传,这种漏洞类型是属于高危漏洞的一种,能直接 getshell,而且没有任 何限制,攻击者很容易通过上传点,获取网站的控制权限; 另外一种是有条件的上传漏洞,这种漏洞一般 是开发者经验不足,对文件上传做了简单的限制,如简单的前端认证,文件头文件检测,这种检测行为, 可以完全绕过的; 另外一个方面就是权限认证没处理,没有对文件上传页面进行权限认证,匿名者就能访问上传文件,上传网页后门到网站目录,控制整个网站; 还有一些上传逻辑有问题,导致文件上传可以被绕过,上传后门到网站上。有的文件上传漏洞则是通过中间件或者系统特性上传可以被服务器解析脚本文件,从而导致网站可被控制; 文件上传漏洞的修复方案在网站中需要存在上传模块,需要做好权限认证,不能让匿名用户可访问;文件上传目录设置为禁止脚本文件执行。这样设置即使被上传后门的动态脚本也不能解析,导致攻击 者放弃这个攻击途径;设置上传白名单,白名单只允许图片上传如,jpg png gif 其他文件均不允许上传;上传的后缀名,一定要设置成图片格式如 jpg png gif ;文件上传的攻击方法寻找测试网站的文件上传的模块,常见:头像上传,修改上传,文件编辑器中文件上传,图片上传、媒体上 传等,通过抓包上传恶意的文件进行测试,上传后缀名 asp php aspx 等的动态语言脚本,查看上传时的返回信息,判断是否能直接上传,如果不能直接上传,再进行测试上传突破,例如上传文件的时候只允许图片格式的后缀,但是修改文件时,却没有限制后缀名,图片文件可以修改成动态语言格式如 php,则可能访问这个文件的 URL 直接 getshell,可以控制网站; 常见的网站文件后缀名可执行脚本的文件后缀名,可被网站目录解析。以下是常见的后缀名: aspasacdxcerphpaspxashxjspphp3php.ashtmlphtml有些网站会对 asp 或者 php 进行过滤转成空可用这些后缀名: aspaspasasppphpphp任意文件上传漏洞任意文件上传漏洞又名文件直接上传漏洞,这种漏洞危害极大,如果攻击者能直接上传恶意脚本到网站存放 的目录,且这个目录可解析动态脚本语言,那么攻击者就能够直接获取网站权限,甚至进一步权限提升, 控制服务器; 任意文件上传代码分析直接获取文件名,把上传的临时文件移动到 hackable/uploads 目录; 直接上传文件 网页会返回路径 访问 url 即可 getshell; 使用2018的phpstady搭建,新版的很多都不行了 绕过前端 js 检测上传环境:upload-labs01 在文件上传时,用户选择文件时,或者提交时,有些网站会对前端文件名进行验证,一般检测后缀名,是否为上传的格式。如果上传的格式不对,则弹出提示文字。此时数据包并没有提交到服务器,只是在客户端通过 js 文件进行校验,验证不通过则不会提交到服务器进行处理; 删除即可,或者在js内的判断条件上加上我们的恶意后缀,或者,直接关闭浏览器的js功能; 环境:upload-labs02 有些上传模块,会对 http 的类型头进行检测,如果是图片类型,允许上传文件到服务器,否则返回上传失 败。因为服务端是通过 content-type 判断类型,content-type 在客户端可被修改。则此文件上传也有可能被绕过的风险; 分析 content-type 漏洞代码首先进行 submit 提交判断,再检测文件类型如果是 image/jpeg 或者 image/png 即允许上传; 上传文件,脚本文件,抓包把 content-type 修改成 image/jpeg 即可绕过上传; content-type解释:https://www.runoob.com/http/http-content-type.html 环境:upload-labs03 上传模块,有时候会写成黑名单限制,在上传文件的时获取后缀名,再把后缀名与程序中黑名单进行检测, 如果后缀名在黑名单的列表内,文件将禁止文件上传; 黑名单代码分析首先是检测 submit 是否有值,获取文件的后缀名,进行黑名单对比,后缀名不在黑名单内,允许上传; 上传图片时,如果提示不允许 php、asp 这种信息提示,可判断为黑名单限制,上传黑名单以外的后缀名即可; 在 iis 里 asp 禁止上传了,可以上传 asa cer cdx 这些后缀,如在网站里允许.net 执行可以上传 ashx 代 替 aspx。如果网站可以执行这些脚本,通过上传后门即可获取 webshell ; 在不同的中间件中有特殊的情况,如果在 apache 可以开启 application/x-httpd-php 在 AddType application/x-httpd-php .php .phtml .php3 后缀名为 phtml 、php3 均被解析成 php 有的 apache 版本默认就会开启; 上传目标中间件可支持的环境的语言脚本即可,如.phtml、php3; 关于AddType命令的作用解释 AddType 指令 作用:在给定的文件扩展名与特定的内容类型之间建立映射 语法:AddType MIME-type extension [extension] … AddType指令在给定的文件扩展名与特定的内容类型之间建立映射关系。MIME-type指明了包含extension扩展名的文件的媒体类型。 AddType 是与类型表相关的,描述的是扩展名与文件类型之间的关系。可以在httpd.conf文件中查看AddType 的设置情况; 注:新版的phpstudy貌似没有这个了,实验的话只能使用老版的了; 环境:upload-labs04 上传模块,黑名单过滤了所有的能执行的后缀名,如果允许上传.htaccess。htaccess 文件的作用是可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定 IP 地址的用户、只允许特定 IP 地址的用户、禁止目录列表,以及使用其他文件作为 index 文件等一些功能; 在 htaccess 里写入 SetHandler application/x-httpd-php 则可以文件重写成 php 文件。要 htaccess 的规则生效 则需要在 apache 开启 rewrite 重写模块,因为 apache 是多数都开启这个模块,所以规则一般都生效; 上传.htaccess 到网站里.htaccess 内容是: SetHandler application/x-httpd-php 将所有的jpg文件解析成php文件再上传恶意的 jpg 到.htaccess 相同目录里,访问图片即可获取执行脚本; 环境:upload-labs06 有的上传模块,后缀名采用黑名单判断,但是没有对后缀名的大小写进行严格判断,导致可以更改后缀大小 写可以被绕过。如 PHP、 Php、 phP、pHp ; 黑名单大小写绕过代码分析获取文件后缀名进行判断,如果后缀在这个字典里就禁止上传。 $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");仔细阅读黑名单,查看是否有被忽略的后缀名,当前可以使用 phP 绕过; 环境:upload-labs07 抓包上传,在后缀名后添加空格; 环境:upload-labs08 在 windows 中文件后缀名. 系统会自动忽略.所以 shell.php. 像 shell.php 的效果一样。所以可以在文件名后面机上.绕过; 源码:同样是黑名单,但是没有删除文件末尾的点的判断条件; 抓包修改在后缀名后加上.即可绕过 ; 环境:upload-labs09 如果后缀名没有对::$DATA 进行判断,利用 windows 系统 NTFS 特征可以绕过上传 ; $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",". pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",". jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",". ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",". sWf",".swf",".htaccess"); 同样用黑名单过滤后缀名。但是程序中没有对::$DATA 进行过滤可以添加::$DATA 绕过上传burpsuite 抓包,修改后缀名为 .php::$DATA ; 环境:upload-labs10 在 windwos 中如果上传文件名 ruchusec.php:.jpg 的时候,会在目录下生产空白的文件名 ruchusec.php ; 再利用 php 和 windows 环境的叠加属性; 以下符号在正则匹配时相等: 双引号" 等于 点号.大于符号> 等于 问号?小于符号< 等于 星号*文件名.>环境:upload-labs11 在上传模块,有的代码会把黑名单的后缀名替换成空,例如 a.php 会把 php 替换成空,但是可以使用双写绕过例如 asaspp,pphphp,即可绕过上传; 代码分析:同样是黑名单过滤。str_ireplace 对上传的后缀名是黑名单内的字符串转换成空; 抓包上传,把后缀名改成 pphphp 即可绕过上传; 环境:upload-labs12 上面都是一些黑名单被绕过的,如果黑名单上传检测后,没有限定后缀名,绕过的方法很多,与黑名单相对的就是白名单,使用白名单验证会相对比较安全,因为只允许指定的文件后缀名。但是如果有可控的参数目录,也存在被绕过的风险; 上传参数目录可控代码分析 :代码中使用白名单限制上传的文件后缀名,只允许指定的图片格式。但是$_GET['save_path']服务器接受 客户端的值,这个值可被客户端修改。所以会留下安全问题; 上传参数可控 当 gpc 关闭的情况下,可以用%00 对目录或者文件名进行截断;php 版本小于 5.3.4 ;注意:需要magic_quotes_gpc=off,才可以 首先截断攻击,抓包上传将%00 自动截断后门内容 例如 1.php%00.1.jpg 变成 1.php 环境:upload-labs13 post 下直接注入%00 是不行的,需要把%00 解码变成空白符,截断才有效。才能把目录截断成文件名; 目录可控 post 上传代码分析这段代码同样是白名单限制后缀名,$_POST['save_path']是接收客户端提交的值,客户端可任意修改。所以会产生安全漏洞; 文件名可控,通过抓包修改可控的参数,与不同的中间件的缺陷配合使用; 使用%00 截断文件名 ,在 post 环境下%00 要经过 decode 但是受 gpc 限制; 使用 burpsutie POST %00 截断文件名; 如果当前目录不能解析脚本,可以移动到其他目录再进行截断提交; 有的文件上传,上传时候会检测头文件,不同的文件,头文件也不尽相同。常见的文件上传图片头检测它检测图片是两个字节的长度,如果不是图片的格式,会禁止上传 ; 常见的文件头: JPEG (jpg),文件头:FFD8FFPNG (png),文件头:89504E47GIF (gif),文件头:47494638TIFF (tif),文件头:49492A00Windows Bitmap (bmp),文件头:424DPng图片文件包括8字节:89 50 4E 47 0D 0A 1A 0A。即为 .PNG。 Jpg图片文件包括2字节:FF D8。 Gif图片文件包括6字节:47 49 46 38 39|37 61 。即为 GIF89(7)a。 Bmp图片文件包括2字节:42 4D。即为 BM文件头检测上传代码分析环境:upload-labs14 getReailFileType 是检测 jpg、png、gif 的文件头; 如果上传的文件符合数字即可通过检测; 文件头检测绕过传攻击方法制作图片一句话,使用 copy 1.gif/b+123.php/a shell.php 将 php 文件附加在 jpg 图片上,直接上传即可; /b代表以二进制编码打开文件,/a代表以ASCII码编码打开文件 靶场的这关可以通过文件包含,包含执行图片马,实战中,上传图片马需要找到文件包含漏洞,打组合拳; 还有一种方法是直接在一句话木马前面加上图片的文件头,最常用的:GIF89a 图片检测函数绕过上传环境:upload-labs15 白名单的方式过滤,getimagesize 是获取图片的大小,如果头文件不是图片会报错直接可以用图片马绕过检测; 攻击方法同上面一样; 绕过图片二次渲染上传有些图片上传,会对上传的图片进行二次渲染后在保存,体积可能会更小,图片 会模糊一些,但是符合网站的需求。例如新闻图片封面等可能需要二次渲染,因 为原图片占用的体积更大。访问的人数太多时候会占用,很大带宽。二次渲染后 的图片内容会减少,如果里面包含后门代码,可能会被省略。导致上传的图片马, 恶意代码被清除; 图片二次渲染分析代码环境:upload-labs17 只允许上传 JPG PNG gif 在源码中使用 imagecreatefromgif 函数对图片进行二次生成,生成的图片保存在,upload 目录下; 首先判断图片是否允许上传 gif,gif 图片在二次渲染后,与原图片差别不会太大。 所以二次渲染攻击最好用 gif 图片图片马; 制作绕过图片马(HxD工具)将原图片上传,下载渲染后的图片进行对比,找相同处,覆盖字符串,填写一句话后门,或者恶意指令; 环境:upload-labs18 在文件上传时,如果逻辑不对,会造成很大危害,例如文件上传时,用 move_uploaded_file 把上传的临时文件移动到指定目录,接着再用 rename 文件,设置图片格式,如果在 rename 之前 move_uploaded_file 这个步骤 如果这个文件可被客户端访问,这样我们也可以获取一个 webshell; 代码分析采用白名单上传,$upload_file = UPLOAD_PATH . '/' . $file_name; 设置上传路径, 后缀名没有限定为图片类型,接着 move_uploaded_file($temp_file, $upload_file) 将图片移动指定的目录,接着使用 rename 重名为图片类型,在重名之前如果被浏览器访问,那么可以得到一个 webshell; 改个木马,效果明显点; //cmd.php上传文件,burp抓包,发送到 intruder 模块,设置无限发送空的payloads,线程调高一点; python脚本访问我们上传文件 import requests url = "http://192.168.50.154/upload-labs-master/upload/cmd.php" while True: html = requests.get(url) if html.status_code == 200: print("OK") break蚁剑连接 环境:upload-labs20 文件上传时,文件名可被客户端修改控制,会导致漏洞产生; 文件名可控代码分析采用黑名单限制上传文件,但是 $_POST['save_name']文件是可控的,可被客户端任意修改,造成安全漏洞; 一: 上传文件,文件马采用%00 截断,抓包解码,例如 shell.php%00.jpg 截断后 shell.php 或者使用/. ; 注意: %00 截断 需要 gpc 关闭,抓包,解码,提交即可,截断文件名 php 版本小于 5.3.4才行 ; 二: 与中间的漏洞配合使用 例如 iis6.0 上传 1.php;1.jpg apache 上传 1.php.a 也能解析文件 a.asp;1.jpg 解析成 asp ; 环境:upload-labs21 有的文件上传,如果支持数组上传或者数组命名。如果逻辑写的有问题会造成安全隐患,导致不可预期的上传。这种上传攻击,它是属于攻击者白盒审计后发现的漏洞居多 ; 数组绕过代码分析首先检测文件类型,接着可以看到可控参数 save_name ,如果不是数组内的后缀名,即不是图片,禁止上传,如果是数组数组内的后缀名,则绕过图片类型检测,接着处理; 重点在 $file_name = reset($file) . '.' . $file[count($file) - 1] 把这句搞懂,关键点也在这,我们的目的是把$file[count($file) - 1,这个的数组必须大于1,这样第二个数组的值就获取不了了,那么就为空,然后和第一个数组拼接; 数组上传攻击方法1.修改content-type 2.修改POST参数为数组类型,索引[0]为`upload-20.php`,索引[2]为`jpg|png|gif`。 3.只要第二个索引`不为1`,$file[count($file) - 1]就等价于$file[2-1],值为空。我们要添加第二个下标即索引2为jpg|png|gif 我们也可以直接在第一个下标值后面直接添加一个 \ ,上传上去也会在目录下生成文件; 到这里,可能还有的同学还没懂,接着给大家举个小例子: 构造上传表单,设置数组上传; upload.html请选择要上传的图片:
保存名称:
从代码中,可以知道第二个数组必须大于 1 即可,这样第二个数组的值就获取不了,字符串拼接起来就是 phpinfo.php/. 就能上传phpinfo.php; 判断是否为黑白名单,如果是白名单,寻找可控参数。如果是黑名单禁止上传, 可以用有危害的后缀名批量提交测试,寻找遗留的执行脚本; .php .php5 .php4 .php3 .php2 .html .htm .phtml .pht .pHp .phP .pHp5 .pHp4 .pHp3 .pHp2 .Html .Htm .pHtml .jsp .jspa .jspx .jsw .jsv .jspf .jtml .jSp .jSpx .jSpa .jSw .jSv .jSpf .jHtml .asp .aspx .asa .asax .ascx .ashx .asmx .cer .aSp .aSpx .aSa .aSax .aScx .aShx .aSmx .cEr .sWf .swf .htaccess使用 burpsuite 抓包上传将后缀名设置成变量,把这些文件设置成一个字典批量提交; |
CopyRight 2018-2019 实验室设备网 版权所有 |